CCNP路由笔记 - 图文

CCNP路由笔 一 OSPF篇：

OSPF EIGRP都是用4个逻辑分支 1 发现邻居 （发送hello报文）2建立邻居表（two way）3 建立拓扑表4建立路由表（选择最佳路由）

流程为 down –init- two way(建立邻居成功DR BDR选举完成)-exstat（交换之前会选出主从关系确定谁先发送数据）-exchange（交换DB过程）loadiing（交换lsu）full（完成整个数据交换 ospf真个过程建立完成）。 基础知识

1. ABR（至少有一个接口与另外两个OSPF区域相连） 骨干路由器（至少有一个接口在AREA 0区域内） 内部路由器（所有接口都再这个区域内）

指定路由器DR（在交换数据链路LSA时不是每个路由器都相互转发而是通过DR/BDR进行2. DRother向DR,BDR发送DD,LSA request或者LSA UPdate时目标地址是AllDRouter(224.0.0.6);或者理解为：DR侦听224.0.0.6

DR,BDR向DRother发送DD,LSA Request或者LSA Update时目标地址是AllSPFRouter(224.0.0.5);或者理解为：DRother侦听224.0.0.5

并且所有的DROTHER与DR只会形成TWOWAY邻居关系但是不会形成full 只有DR或BDR出现故障才回重新选举，即使加进来的优先级或者RID再打也不会重新选举，如果DR出现故障那么BDR接替，如果BDR出现故障重新选举BDR,DR保持不变

3各类LSA

1类路由器LSA：每台路由器上都会有1类LSA 他指出了这个路由器的RID和所有的IP地址ABR会有很多1类LSA，每个区域的LSA都会在ABR中列出`。

2类网络LSA：是有DR生成描述中转网络子网及该子网的路由接口

这里的10.5.5.0为DR所创建的中转网络，他显示的是DR的接口。

只有DR与BDR会形成FULL状态，DRother与DR之间形成FULL与BDR之间形成FULL 所有DROTHER之间形成twoway状态。

总结：只需使用l 类和2类LSA ， OSPF 就能知道区域内的完整拓扑.路由器使用SPF 过程 建立拓扑模型后，便可计算出前往区域内每个于网的最佳(开销量低的)路由 建立DR ip ospf priority 10 三 3类lsa（汇总LSA）

存在OSPF 区域的原因之一是让工程师能够降低路由器内存和计算贤顿的消耗。

一个区域内的路由器建议在30台路由器之内，并且不建议在骨干区域放置为业务区域。 汇总LSA会把区域内的所有子网都通告出去。

ABR生成的汇总LSA 内部路由器也会有三类LSA是ABR发过来的r0-r1-r3

R1为ABR的话那么RO的3；类LSA是由R3-R1子网内的信息发过来的通力R3是由R0-R1

从上图可知1类LSA区域0所有的RID的IP地址 2类LSA在区域0中得所有网段 3类LSA描述了区域0中所有其他区域需要学习的LSA

四：

需要将LS A 泛洪到整个

区域.为此，每当路由器从邻居那里获得L SA 后，它就意识到位于同一个区域内的其他

邻居可能还不知道这些LSA. 同样，当LSA 2t生变化时，例如接口状态宜生变化时， 路 由器就可能获悉原有的L S A ，但其序列号不同， 在这种情况下， 也需特修改后的L SA IZ 洪到区域内的其他邻居.

其序列号为0x80000001每改变一次序列号都好+1

DRother向DR,BDR发送DD,LSA request或者LSA UPdate时目标地址是AllDRouter(224.0.0.6);或者理解为：DR侦听224.0.0.6

DR,BDR向DRother发送DD,LSA Request或者LSA Update时目标地址是AllSPFRouter(224.0.0.5);或者理解为：DRother侦听224.0.0.5

邻居使用DD

消息来熟悉邻居知道的LSA . 然后只请求邻居知道但自己不知道的LSA . 通过只请求自己 不知道的LSA 或已有L SA 的新版本.可防止描环通告LS A .

5

过程：建立邻居关系后通过交换DD报文比对LSID及序列号如果发现两边的LSDB不同会发送LSR LSU LSAck同步链路状态数据库。直到区域内的所有路由器都直到了每个LSA的最新版本号（0x80000001）才不会在同步。

发送HEELO建立邻居关系-init状态未建立邻居时所处的初始状态-twoway建立邻居关系后-exstart选举DR过程exchange-dd报文协商结束交换DD分组

-loading交换lsr lsu lsack交换完整的LSA –full链路状态数据库同步完成 定期宏泛ospf不像动态路由那样定期发送路由更新，但是他会在30分钟泛红一次LSA LSA有年龄为0，如果到了30分钟没有发生路由变化就会泛红并且序列号会增加1，定时器会重置为0。

选举最优OSPF

对LSDB 进行分析，以选出前往该子网的所有路由 、对于每个可能的路由，将其出站接口的开销相加 挑选出开销最短的最优路由 路由选举分为3类

区域内路区域间路由以且同时存在前往同一个子网的区域内路由和区域 问路由的情形

区域内路由：可以通过分析前往该子网的各个路由然后将他们的开销相加选择出最优路由. 区域间路由：区域间则不可

ABR提供的3类LSA包括

LSA提供的子网号，掩码

前往每个子网的最佳路由开销 ABR的RID

? 选择最佳路由时区域内路由也是优先于区域间路由而不管其度量值如何. ? 如果A BR 获得了非主干区域内的l 类LSA ，计算路由时它将忽略这种LSA .

由于第一条规则. RI 不可能在存在区域内路由的情况下选择区域间路由.第二条规则 走得更远让归根本不去选择区域网路由一一在选择最佳IP 路岱时. RI 嗣本不合考虑这 个LSA

3 类LSA 如何变化

都不会影响内路由器和ABR之间间的拓扑.而SPF 只处理这些拓扑数据. 因此，仅

当1 类和2 类LSA 发生变化时t时才需要执行SP F 计算，因为他并没有描述拓扑只有详细的子网号，掩码。

也就是说仅有本区域内的1类2类发生变化才会产生SPF计算，每当3类LSA发生变化被泛红时不会运行SPF算法，而1.2类发生变化计数器+1执行SPF算法。

1.1.1.1 2.2.2.2 每个区域都应与主干区域相连，末节区域不会有虚链路

再区域111与区域0之间配置一条虚链路，让这两个区域互通相连 1. 通过虚链路相连的ABR类似于其他ABR但是有两个不同，2.

2. 这种ABR以单播方式发送OSPF消息，其目标都是另一端的IP地址。不会每30分钟

发送一次LSA

其中area 222为虚链路间的中转区域，virtual-link 2.2.2.2为虚链路另一端的RID（两个ABR的RID）

通过show ip ospf neighbor 可以看的哦啊虚链路建立的邻接关系借口哦偶为ospf 虚接口，并且不可以选择DR因为不是物理接口。

虚链路是两个相连路由器之间所创建的R1-R2-R3那么这个虚链路应该在R1和R2中间。

A0 A1 A2

虚链路是一个区域内的两台路由器（这个区域是中转区域）。

IGP重分发

IGP是内部网关协议，（rip ospf eigrp is-is）

重分发就是将两个不同的路由协议从一段转发到另一端协议上，如图将OSPF转发到EIGRP上。

使用到IGP重分发的集中情况

其中使用相同的路由协议也有可能会用到重分发，比如eigrp中的两个区域他们的AS号不同我们要将不同AS号的路由引入进来就可能会用到重分发。 重分发不使用拓扑表因为不同的协议拓扑表包含的内容也不同，所以使用路由表。进行重分发。

在EIGRP当中可以指定度量值（包括带宽 延迟 可靠性 链路负载 MTU ） 其中可靠性 链路负载 MTU 默认不考虑但是必须指定否则IOS不接受。

EIGRP将内部路由的管理距离设置为90 将外部路由的管理距离设置为170、 OSPF 重分发命令

1任何协议重分部到RIP中metrics无限大（16大）把其他路由协议分布到RIP都要制定一个METRIC值

3. Metric-type :默认引入到OSPF中的路由为2类

1类路由：

如果有多个前往同一子网的2类路由那么就比较ASBR通告的2类度量值来比较如果值相同在比较到ASBR的开销进行路由选择。

4. 5. 6. 7. 8. 9.

把任何协议重分部到EIGRP也是无限大也需要加参数（by 延迟 可靠性 负载 MTU） 把任何协议重分部到OSPF默认的METRIK为20 BGR重分部到OSPF为1 将任何协议重分部到IS-IS中默认为0

将任何协议重分部到BGP中metric值为IGP的值 静态路由重分部协议中不用加METRIC因为默认为1

redistribute conncted 本地所有的直连路由都会引入到协议中 不用加METRIC默认为1

协议重分部到OSPF中

1如果不加SUBNETS默认只把有类路由引入进来（有类路由是传统的A\\B\\C类子网）而无类路由用子网划分的路由引入不进来所以加上一个SUBNTES可以引入无类路由 2 默认引入OSPF中的为2类路由默认值为20

3.链路状态路由不可以通过重分部引入默认路由：通过 default-informaiton ornated 注入默认路由

Is-is重分部any ISIS直连路由不会被重分部进去

如果把RIP的路由重分部到OSPF后在将OSPF的重分部到EIGRP这样EIGRP只会学到OSPF的路由。不会学到RIP也就是说不能跨区域学习。

Router map

Router map 提供的功能：

Match ip address 10 20 30 这是抓得三项很想路由他得意思是或OR Set … Set …

Set …

这是和，同时执行即把他设置为set 1 又设置为set 2 set 3

对称：同一个KEY（快）

非对称：两个KEY,分为公钥、私钥（慢）。

1. 路由

2. 感兴趣流量，设置ACL（两端对称） access-list 100 per 192.168.1.0

0.0.0.255 192.168.2.0 0.0.0.255

3. IKE1阶段(ISAKMP SA) crypto isakmp police 10（从序号最小的匹配，匹配

一致的就会使用）。

Authentication pre-share key Hash md5 (默认)

Encryption des（默认）

由于使用共享密钥所以我们还需要定义密钥 Crypto iSAKMP key jiangchao address 200.1.1.2 (对端公网地址)

IKE2阶段：crypto ipsec transform set jiangchao esp-md5-hash-des Mode tunnel (端对端的默认是 tunnel)

4. MAP (把感兴趣流量与1.2阶段结合起来

Crypto map vpn 10 ipsec-isakmap

Set peer 200.1.1.2 (邻居是谁与谁做) Match ip add 100

Set transform-set jiangchao 5.MAP应用在外网口

*Mar 1 03:00:05.691: ISAKMP (0:1): Checking ISAKMP transform 1 against priority 10 policy（第一步两边匹配Police ）

*Mar 1 03:00:05.975: ISAKMP (0:1): SKEYID state generated （第一阶段的5.6报文） *Mar 1 03:00:06.395: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= 202.102.152.1, remote= 202.102.152.2, local_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), remote_proxy= 192.168.2.0/255.255.255.0/0/0 (type=4),

protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel), lifedur= 0s and 0kb,

spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2（协商IPSEC的主要内容）

IPSEC 穿越NAT

如图如果使用了IPSEC我们将会把私网地址封装生成新的公网地址200.1.1.1 并且这些地址都进行了加密封装，而NAT必须使用这些信息所以造成了冲突

GRE VPN

Tunnel 就是GRE

Gre 不支持认证不支持加密、支持多种网络协议

Interface tunnel 1

Tunnel source 200.1.1.1

Tunnel destination 200.1.1.2 定义tunnel 地址 Interface tunnel 1

Ip add 172.16.1.1 255.255.255.0（写这个地址是为了出线下面的默认路由的因为下一跳是tunnel口）

路由IP ROUTE 0.0.0.0 0.0.0.0 Tunnel 1()

Gre over ip sec

Gre over ipsec 是先封装gre 然后再封装ipsec ,由于封装完GRE后会生成一个公网IP与封装IPSEC形成的公网IP实现的结果一样所以我们使用transport mode 形式封装完GRE后再封装IPSEC就形成公网IP包头不用形成两个IP包头。

配置ipsec

1抓感兴趣流量：由于路由的下一跳是 tunnel也就是说先先封装了 gre所以会形成一个新的IP包头公网，这样我们再做ipsec抓的感兴趣流量就不是内网地址了而是新生成的公网地址，

Access-list 1 per ip host 202.102.152.1 202.102.152.2 除了 mode 换为transport 其余所有的ipsec 配置不变 启用路由协议的GRE 1. 发布私网网段

2. 将tunnel 口地址通过eigrp 发布出去（由于再公网上发布后我们通过组播地址经过怎

么多路由器对端根本收不到所以我们将通过在GRE上使用路由协议通过tunnel隧道发布出去）interface tunnel 1

172.16.1.1 255.255.255.0

Network 172.16.1.0 0.0.0.255

HA高可用性

Crypto isak map keeplives 10 3 (每10秒发送一个连接 如果3秒内发布的都没有回复的话就认为这条IPSEC断了) Crypto map jiangchao

Set peer 202.102.152.1 default

Set peer 202.102.121.1 (如果第一个断了会自动切到第二个) EASY VPN

、

1. 只可以client 初始化 2. 1阶段的ISA

3. 1.5阶段分为两个内容

反向路由注入由于server没有到达PC的路由所以我们事先分配给PC一个地址段然后将这个路由注入到SERVER端

Site – site s是根据感兴趣流量生成的路由 Easy 是根据分配给的地址生成一条路由

IP V6

IP V6好处

1每个点都有IP地址 2

3一个借口配多哥地址 4动态获取地址

5即插即用接到网络中可以得到地址 6不需要端口转换 7重编址

简易的包头：

IPV6没有广播只有组播

IPV6 写法：1.一组数字的前的第一个0可以被缩掉例如 009c 可以写作9c 2．4个0可以写作一个0

3.如果两组中都是为0的多个0连在一起可以写作：：例如 0000:0000 写作： ：一个IPV6地址里面只允许有一个：：

IPV6：地址类型 单播unicast 组播 multicast 任意播 anycast Global地址：是公网地址是由INAN分下来的从2000:/3开始 Local :私有地址FE80 ::/10 路由下一跳也用这个 Site local：fec0::/10

IPV4地址如何映射到IPV6地址：10进制转16进制 一个借口配多哥地址 2001：：/23到32为是运营商的 2001：：/32-48是而运营商或者公司企业的 最后的48-64

本文来源：https://www.bwwdw.com/article/e8h2.html